长亭百川云 - 文章详情

Windows 应急响应手册v1.2 【重要更新】

NOP Team

101

2024-07-13

简介

大家好,《Windows 应急响应手册 v1.2》 发布啦!

本次是一个大更新,解决了两个大问题,添加了4个大的事件处置流程以及一些更新,下载链接在文末

两个大问题是:

  1. Windows 平台的 Adobe acrobat DC  、Firefox 浏览器、Edge浏览器等打开手册出现无法显示目录、内容为空白等问题

  2. 全平台无法搜索,复制内容后,粘贴会出现乱码的情况

第一个大问题产生的原因是封面添加方式,之前一直是使用 MacOS 自带的预览程序添加的封面,这会导致 MacOS 以外的其他平台部分程序解析出现问题,这也是 Github 上放置项目以后得到的最有价值的反馈,感谢反馈的朋友们,这是直接影响手册效果的大问题,这次我们解决了,解决方法是通过 WPS 添加封面,感谢 WPS

第二个大问题产生的原因是 Typora 的 Mint 主题没有包含中文字体,所以我们通过修改该主题的源代码解决了导出 PDF 无法搜索、复制粘贴乱码的问题

这两个问题对使用之前手册的用户影响太大了,希望大家帮忙多多转发,尽可能将本次更新传递到用户们手里!


Adobe acrobat DC

Edge

Firefox

大家的反馈对这本手册的发展很重要,我们将大家的反馈信息列表放在了下面,我们将下载链接放在文末就是希望大家可以看到提供反馈的用户以及具体反馈的内容,也是我们对于反馈的朋友们的公开回复,感谢大家反馈~


更新日记

v1.2 - 20240710

  • 修复了 Windows 平台无法查看目录或显示空白的问题

  • 修复了PDF版手册无法搜索以及复制乱码的问题

  • 添加 MSSQL 事件排查流程

  • 添加钓鱼事件排查流程

  • 添加 badusb 投毒事件排查流程

  • 添加了隧道事件 -> 0x08 隧道处置流程

  • 完善了勒索病毒处置流程

  • 完善了服务程序 -> 11. 进阶性排查 中二进制校验脚本

  • 常规安全检查章节添加了 0x02 证书排查章节

  • 小技巧章节添加了 0x04 查找文件占用小工具 IObit Unlocker

  • 小技巧章节添加了 0x05 内网文件传输工具

  • 远控后门 ->流量检测->地址诱骗章节完善了修改 hosts 部分描述,添加了图片示例

  • 添加了日志分析工具 —— FullEventLogView

  • 添加了编解码与文本对比工具 —— He3

  • 添加了流量监控工具 Netsh、Wireshark

v1.1 - 20240307

v1.0 - 20240203

用户反馈列表

在反馈过程中,除了 Github 上提交的反馈,我们都会询问是否公开反馈者信息,没有取得明确回复可以公开的情况下,以 路人甲 代表

微信公众号无法主动留言,导致部分反馈者没能联系上,朋友们如果看到自己的反馈以 路人甲 代表,可以联系我们修改

1. 寻找恶意样本部分 【文字错误】

反馈项

反馈信息

反馈编号

WYJXY-0001

反馈者

路人甲

反馈时间

2024-02-06 11:07

反馈途径

公众号留言

反馈内容

将一下内容改为将以下内容

完成情况

已修复

完成时间

2024-02-06 19:28

备注信息

2. 威胁分析部分 【平台名称错误】

反馈项

反馈信息

反馈编号

WYJXY-0002

反馈者

safefox

反馈时间

2024-02-06 17:38

反馈途径

微信

反馈内容

将 PCHunter 修改为安芯网盾未知威胁文件检测系统

完成情况

已修复

完成时间

2024-02-06 19:28

备注信息

3. 添加 OpenArk 工具

反馈项

反馈信息

反馈编号

WYJXY-0003

反馈者

safefox

反馈时间

2024-02-06 17:38

反馈途径

微信

反馈内容

考虑添加 OpenArk 工具

完成情况

已完成

完成时间

2024-03-06 17:43

备注信息

4. 添加 Defender 日志

反馈项

反馈信息

反馈编号

WYJXY-0004

反馈者

safefox

反馈时间

2024-02-06 17:38

反馈途径

微信

反馈内容

日志分析部分添加 defender 日志

完成情况

已添加

完成时间

2024-03-05 00:13

备注信息

5. 添加二进制文件执行日志

反馈项

反馈信息

反馈编号

WYJXY-0005

反馈者

safefox

反馈时间

2024-02-06 17:50

反馈途径

微信

反馈内容

添加 Windows 历史运行程序排查方法

完成情况

已添加

完成时间

2024-03-06 00:06

备注信息

6.  完善部分 Windows 事件及 ID

反馈项

反馈信息

反馈编号

WYJXY-0006

反馈者

safefox

反馈时间

2024-02-19 13:53

反馈途径

微信

反馈内容

补充部分协议及服务的 Windows 日志

完成情况

已完善

完成时间

2024-03-06 22:56

备注信息

7.  谁决定计划任务的执行结果部分【文字错误】

反馈项

反馈信息

反馈编号

WYJXY-0007

反馈者

safefox

反馈时间

2024-02-19 14:19

反馈途径

微信

反馈内容

小时 -> 消失

完成情况

已修复

完成时间

2024-03-05 00:15

备注信息

8. 添加痕迹查看工具

反馈项

反馈信息

反馈编号

WYJXY-0008

反馈者

爱做梦的大米饭

反馈时间

2024-02-10 07:12

反馈途径

微信

反馈内容

添加YDArk、LastActivityView

完成情况

已添加 LastActivityView,YDArk 不开源,暂不添加

完成时间

2024-03-05 20:15

备注信息

9. 完善小技巧查找文件部分

反馈项

反馈信息

反馈编号

WYJXY-0009

反馈者

爱做梦的大米饭

反馈时间

2024-02-10 07:12

反馈途径

微信

反馈内容

添加命令行以及 everything 语法

完成情况

已完成

完成时间

2024-03-05 17:53

备注信息

10. 添加深信服僵尸网络查杀工具

反馈项

反馈信息

反馈编号

WYJXY-0010

反馈者

路人甲、爱做梦的大米饭

反馈时间

2024-02-4 09:01

反馈途径

微信

反馈内容

添加深信服僵尸网络查杀工具

完成情况

已添加

完成时间

2024-03-06 17:14

备注信息

11. 添加 SQL Server 应急分析

反馈项

反馈信息

反馈编号

WYJXY-0011

反馈者

爱做梦的大米饭

反馈时间

2024-02-10 07:12

反馈途径

微信

反馈内容

添加 SQL Server 应急分析

完成情况

已添加

完成时间

2024-07-10 00:43

备注信息

12. 完善二进制程序校验逻辑

反馈项

反馈信息

反馈编号

WYJXY-0012

反馈者

NOPTeam

反馈时间

2024-03-01 20:54

反馈途径

作者自查

反馈内容

验证签名通过后应该进一步验证签名发布者是否为微软

完成情况

已完成

完成时间

2024-03-06 23:59

备注信息

13. 修改 powershell 为 Powershell 【美化】

反馈项

反馈信息

反馈编号

WYJXY-0013

反馈者

NOPTeam

反馈时间

2024-03-04 16:20

反馈途径

作者自查

反馈内容

出于美观需求,将 powershell 写成 Powershell

完成情况

已完成

完成时间

2024-03-04 16:27

备注信息

14. 添加 beaconEye 工具

反馈项

反馈信息

反馈编号

WYJXY-0014

反馈者

爱做梦的大米饭

反馈时间

2024-03-05 11:09

反馈途径

微信

反馈内容

根据 Yara 检测恶意程序

完成情况

暂不添加

完成时间

2024-03-07 00:11

备注信息

工具已经3年未更新

15. 新建 Windows 近期活动检查项

反馈项

反馈信息

反馈编号

WYJXY-0015

反馈者

NOPTeam

反馈时间

2024-03-01 20:54

反馈途径

作者自查

反馈内容

增加近期Windows活动以及二进制执行记录

完成情况

已完成

完成时间

2024-03-06 00:08

备注信息

16. 添加 360系统急救箱

反馈项

反馈信息

反馈编号

WYJXY-0016

反馈者

megaparsec

反馈时间

2024-03-23 19:53

反馈途径

微信

反馈内容

杀毒软件推荐 360系统急救箱

完成情况

暂不添加

完成时间

2024-03-23 20:23

备注信息

不适用于服务器系统,且不比360杀毒强

17. 添加文件时占用强制删除

反馈项

反馈信息

反馈编号

WYJXY-0017

反馈者

megaparsec

反馈时间

2024-03-23 19:53

反馈途径

微信

反馈内容

存在文件占用时,无法强制删除,可以使用IObit Unlocker

完成情况

已添加

完成时间

2024-07-06 17:59

备注信息

18. 添加使用沙箱

反馈项

反馈信息

反馈编号

WYJXY-0018

反馈者

megaparsec

反馈时间

2024-03-23 19:53

反馈途径

微信

反馈内容

鉴定样本可以借助沙箱,如果允许样本上传的话

完成情况

已忽略

完成时间

2024-03-23 19:54

备注信息

手册中已包含沙箱相关内容

19. 添加 Rookit 的排查应急

反馈项

反馈信息

反馈编号

WYJXY-0019

反馈者

megaparsec

反馈时间

2024-03-23 19:53

反馈途径

微信

反馈内容

增加 Rookit 的排查应急

完成情况

暂未添加

完成时间

2024-03-23 20:23

备注信息

需要大家主动提供案例,使用网络上的案例可能会侵权

20. 建议给pdf增加目录

反馈项

反馈信息

反馈编号

WYJXY-0020

反馈者

zer07z

反馈时间

2024-03-18 11:10

反馈途径

Github Issues

反馈内容

pdf增加目录;增加应急响应check list

完成情况

已修复

完成时间

2024-07-10 12:30

备注信息

手册本身是有目录(标签)以及check list的,目录由PDF阅读软件自动生成,如果在页面中显式放入目录,单单目录就会占用前 30 多页内容,会给大家阅读带来障碍,之前版本由于 MacOS 预览程序添加封面后与火狐浏览器以及Adobe acrobat DC不兼容,导致不显示内容或目录
常规安全检查部分就是所谓的 check list

21. 手册显示空白&不显示目录导航

反馈项

反馈信息

反馈编号

WYJXY-0021

反馈者

value-0

反馈时间

2024-03-19 17:28

反馈途径

Github Issues

反馈内容

火狐打开手册显示空白;Adobe acrobat DC打开手册不显示目录导航

完成情况

已修复

完成时间

2024-07-10 12:30

备注信息

由于 MacOS 预览程序添加封面后与火狐浏览器以及Adobe acrobat DC不兼容,导致不显示内容或目录

22. 完善二进制校验脚本

反馈项

反馈信息

反馈编号

WYJXY-0022

反馈者

NOP Team

反馈时间

2024-03-25 11:25

反馈途径

作者自查

反馈内容

0x16 服务程序 -> 11. 进阶性排查中二进制校验脚本提取路径存在问题,遇到空格会截断

完成情况

已完善

完成时间

2024-07-06 23:52

备注信息

23. 添加勒索病毒相关处理逻辑

反馈项

反馈信息

反馈编号

WYJXY-0023

反馈者

NOP Team

反馈时间

2024-03-26 15:09

反馈途径

作者自查

反馈内容

完善勒索病毒处理流程

完成情况

已完善

完成时间

2024-07-07 22:29

备注信息

24. 添加修改 hosts 文件的示例

反馈项

反馈信息

反馈编号

WYJXY-0024

反馈者

郑炼俊

反馈时间

2024-06-18 17:13

反馈途径

微信

反馈内容

远控后门->流量检测->地址诱骗章节完善修改 hosts 部分描述,添加图片示例

完成情况

已添加

完成时间

2024-07-06 16:30

备注信息

25. 手册无法搜索

反馈项

反馈信息

反馈编号

WYJXY-0025

反馈者

Heraxt

反馈时间

2024-07-04 10:19

反馈途径

微信

反馈内容

手册在Windows平台不能直接搜索

完成情况

已修复

完成时间

2024-07-10 12:30

备注信息

Typora Mint 主题导致,通过修改源代码已修复

26. 杀死进程树部分【文字错误】

反馈项

反馈信息

反馈编号

WYJXY-0026

反馈者

路人甲

反馈时间

2024-06-27 15:01

反馈途径

公众号留言

反馈内容

cmd.txt 改为 cmd.exe

完成情况

已完成

完成时间

2024-07-06 16:24

备注信息

27. 增加隧道处置流程

反馈项

反馈信息

反馈编号

WYJXY-0027

反馈者

NOP Team

反馈时间

2024-07-07 22:31

反馈途径

作者自查

反馈内容

增加隧道处置流程

完成情况

已完成

完成时间

2024-07-07 22:46

备注信息

28. 勒索病毒处置部分【文字错误】

反馈项

反馈信息

反馈编号

WYJXY-0028

反馈者

xxxr_sec

反馈时间

2024-05-16 12:25

反馈途径

微信

反馈内容

收到 -> 受到

完成情况

已修复

完成时间

2024-07-07 22:58

备注信息

29. 添加日志分析工具 —— FullEventLogView

反馈项

反馈信息

反馈编号

WYJXY-0029

反馈者

xxxr_sec、NOP Team

反馈时间

2024-05-16 13:53

反馈途径

微信

反馈内容

添加日志分析工具 FullEventLogView

完成情况

已添加

完成时间

2024-07-07 23:46

备注信息

30. 添加文本对比工具

反馈项

反馈信息

反馈编号

WYJXY-0030

反馈者

xxxr_sec

反馈时间

2024-05-16 13:53

反馈途径

微信

反馈内容

添加文本对比工具

完成情况

已添加

完成时间

2024-07-07 23:45

备注信息

添加了 He3 ,除了文本对比功能外,支持大量的编解码等功能

31. 添加应用系统和中间件的暴力破解

反馈项

反馈信息

反馈编号

WYJXY-0031

反馈者

xxxr_sec

反馈时间

2024-05-16 13:53

反馈途径

微信

反馈内容

暴力破解模块中是否考虑添加针对应用系统或中间件暴力破解的内容

完成情况

已忽略

完成时间

2024-05-06 13:53

备注信息

特定的应用程序已经有了,中间件属于Web范畴,在将来的 Web 应急响应手册中会涉及

32. 添加流量监控工具

反馈项

反馈信息

反馈编号

WYJXY-0032

反馈者

xxxr_sec

反馈时间

2024-05-16 13:53

反馈途径

微信

反馈内容

是否会添加流量监控工具

完成情况

已完成

完成时间

2024-07-07  23:09

备注信息

添加了 Netsh 和 Wireshark,由于 MMA 已经停止开发,暂时不加进去

33. 添加内网文件传输工具

反馈项

反馈信息

反馈编号

WYJXY-0033

反馈者

NOP Team

反馈时间

2024-04-29 20:44

反馈途径

作者自查

反馈内容

考虑无法使用U盘传输文件的情况,添加内网文件传输工具

完成情况

已添加

完成时间

2024-07-08  13:36

备注信息

34. 添加证书排查

反馈项

反馈信息

反馈编号

WYJXY-0034

反馈者

NOP Team

反馈时间

2024-03-14 15:00

反馈途径

作者自查

反馈内容

添加对证书的排查,如果存在恶意证书可能导致其他排查失效

完成情况

已添加

完成时间

2024-07-08  17:06

备注信息

35. 添加钓鱼排查流程

反馈项

反馈信息

反馈编号

WYJXY-0035

反馈者

NOP Team

反馈时间

2024-05-02 19:25

反馈途径

作者自查

反馈内容

增加钓鱼排查流程

完成情况

已添加

完成时间

2024-07-09 00:00

备注信息

36. 添加 badusb 类事件排查流程

反馈项

反馈信息

反馈编号

WYJXY-0036

反馈者

NOP Team

反馈时间

2024-03-06 21:46

反馈途径

作者自查

反馈内容

添加 badusb 类事件排查流程

完成情况

已添加

完成时间

2024-07-09 02:31

备注信息

手册中案例是使用鼠标模拟 badusb ,如果有 badusb ,日志分析可能更准确

下载地址

https://pan.baidu.com/s/1EbmHeu\_xRNKOcH3PEKbwww?pwd=7kxa

https://github.com/Just-Hack-For-Fun/Windows-INCIDENT-RESPONSE-COOKBOOK

`Hash    md5: 194b5c14ff3c81ac4384ce62f3dcf78a   sha-256: cfda362ca0817b7800fd3c745d8296978fc220a7a89d52dfe9d52d8f1d28a205   `

往期文章

有态度,不苟同

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2